据CertiK安全团队监测,, Wiener DOGE项目于北京时间2022年4月24日下午4时33分被恶意利用,造成了3万美元(折合人民币约12.6万)的损失。攻击者利用WDODGE的收费机制和交换池之间的不一致,发起了攻击。
事件发生的根本原因是:通过紧缩的代币合约造成发送方的LP对没有被排除在转账费用之外。因此,攻击者能够将LP对中的通货紧缩代币耗尽,进而导致货币对价格失衡。
而随后于同一天接连发生了另外三起恶意利用:
同天下午6时20分,Last Kilometer项目被闪电贷攻击利用,造成了26495美元(折合人民币约17万)的损失;
期权协议FinNexus:黑客铸造超3.23亿枚FNX代币,将用新代币替换FNX:官方消息,期权协议FinNexus发布关于黑客攻击的官方声明,驱动FinNexus的部分硬件被恶意软件破坏,似乎是针对平台的攻击。黑客潜入FinNexus系统,成功将私钥恢复到FNX代币合约的所有权。黑客随后转移了合同的所有权,并铸造超过323,000,000枚FNX代币。FinNexus表示,开发人员对合约进行了全面检查,其他FinNexus合约所有者的私钥是安全的,没有代码缺陷被利用。
目前,FinNexus正与交易所与Wanchain联系,以减轻对用户的不利影响,并追踪被黑客入侵的资金,共同努力冻结这些资金。此外,FinNexus表示,将把FNX替换为新代币,该代币将交付给用户。在黑客攻击之前的不同地址将被快照,用户将收到新代币。FinNexus将发布包含相关细节的新声明,涵盖有关重新启动代币和FinNexus协议的所有信息。[2021/5/18 22:15:20]
同天晚上9时45分,Medamon项目被闪存贷攻击利用,造成3159美元(折合人民币约2万)的损失;
风投公司Paradigm已聘请加密白帽黑客Samczsun:金色财经报道,根据周五发布的公告,著名的加密白帽黑客“Samczsun”正在加入风投公司Paradigm Fund担任研究合作伙伴。[2020/10/10]
紧接着, PI-DAO项目被闪存贷攻击利用,造成了6445(折合人民币约4万)美元的损失。
这一系列攻击的攻击者与攻击方法,与同一天早些时候发生的Wiener DOGE相同。
攻击者通过闪电贷获得了2900枚BNB。
攻击者将2900枚BNB换成了6,638,066,501,83枚WDOGE
动态 | 黑客组织窃取 “9.11”文件并向相关人员勒索比特币:据ccn消息,黑客组织“黑暗霸王”声称窃取了2001年世贸中心(World Trade Center) “9.11”袭击事件的相关信息。该组织声称从伦敦劳埃德保险公司(Lloyds of London)、Silverstein Properties和Hiscox辛迪加等保险公司窃取了数千份文件。他们现在威胁说,如果不给他们支付足够的比特币作为赎金,他们将公布这些文件的内容。[2019/1/2]
WdogE : 199,177,850,468
WBNB: 2978
动态 | 西安3名高级黑客盗6亿元虚拟货币 被民警抓获:8月18日消息,昨日下午,历时近半年的“3·30”特大网络黑客盗窃虚拟货币案正式告破。3名网络技术人员,组织“黑客联盟”,涉案金额达6亿元。这是截至目前,国内同类案件中,涉案金额最高的。
据了解,这3人都是高级黑客,曾供职于国内一家知名的网络科技公司。他们通过多次非法入侵、控制公司企业和个人的网络系统,获取大量收益,“他们在作案得手后,会通过分批抛售部分虚拟货币进行提现,再将这些钱用于买别墅、高档汽车和其他理财产品。”目前,案件仍在进一步调查中。[2018/8/18]
LP的状态:
将5,974,259,851,654枚WDOGE发送到LP,由于WDOGE比BNB多,所以LP现在处于不平衡状态。
WDOGE : 5,178,624,112,169
WBNB : 2978
调用skim()函数,从LP中取回4,979,446,261,701枚WDOGE。由于攻击者在调用skim()之前发送了大量的WDOGE,所以LP将支付大量的费用。这一操作清空了LP内的WDOGE的数量。
攻击者还调用可sync()函数来更新LP内的储备值。若干枚WDOGE和2978枚BNB的存在,造成了WDOGE的价格与WBNB相比异常昂贵。
5. 最后,攻击者用剩下的WDOGE换回了2978枚BNB,偿还了闪电贷,赚取了78枚BNB。
而其他几个项目被攻击的流程步骤也相似:
闪电贷取得WBNB,并用WBNB换取LP中的通缩代币;
直接将通缩的代币转移到LP对上;
调用skim()函数,迫使LP对输回通缩代币;
由于转让费的存在,攻击者会重复步骤2~3,将LP对中的通缩代币耗尽;
通过LP对中的价格不平衡来获取利润。
当用户(或LP)转移一定数量的WDOGE时,除了费用,还有4%的代币将被销毁。
因此,如果LP发送100枚WDOGE,其余额将减少104枚WDOGE。
所以,LP应该被排除在费用和代币销毁之外。
CertiK审计专家认为:如果同时对代币和LP合约进行审计,这个漏洞就可能被发现。然而,如果只有代币合约被审计,那么交换机制将被视为一个外部依赖。而这种情况在审计过程中将会指出第三方依赖风险。具体为:如果是代币合约,CertiK审计专家将会与项目方讨论,确认是否需要除去LP对的手续费;如果是LP对方的合约,CertiK审计专家会提出通缩币的讨论,并且提醒项目方可能存在的风险。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。